Internet Explorer 7.0 보호 모드에 적용할 권한 상승 정책을 제공하는 사용자 지정 .adm 및 .admx 관리 템플릿 파일을 만드는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 918239 - 이 문서가 적용되는 제품 보기.
베타 정보
이 문서에서는 Microsoft 제품의 베타 릴리스에 대해 설명합니다. 이 문서의 정보는 "있는 그대로" 제공되며 사전 통보 없이 변경될 수 있습니다.

이 베타 제품은 Microsoft의 공식 제품 지원 서비스를 받을 수 없습니다. 베타 릴리스 지원을 얻는 방법에 대한 자세한 내용은 베타 제품 파일에 포함된 설명서를 참조하거나 릴리스를 다운로드한 웹 사이트를 확인하십시오.
중요 이 문서에서는 레지스트리 수정 방법을 설명합니다. 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 또한 문제가 발생할 경우 레지스트리를 복원하는 방법을 알고 있어야 합니다. 레지스트리 백업, 복원 및 수정 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
256986 Microsoft Windows 레지스트리 설명
모두 확대 | 모두 축소

이 페이지에서

요약

Windows Vista에서는 보안 개체가 자신을 만든 프로세스의 무결성 수준을 자동으로 상속합니다. 따라서 보호 모드에서 만들어진 파일이나 레지스트리 키는 낮은 무결성을 갖습니다. 즉, 낮은 무결성 프로세스는 자신이 만든 개체에 대해서는 쓰기 권한을 가질 수 있지만 사용자 프로필에 있는 보통 또는 높은 무결성 폴더나 파일에 대해서는 쓰기 권한은 가질 수 없습니다.

기본적으로 Microsoft Internet Explorer 7.0이 보호 모드에서 실행될 때는 확장 프로그램이 보통 또는 높은 무결성 개체에 액세스할 수 없기 때문에 악성 소프트웨어의 공격으로부터 가장 잘 보호됩니다. 확장 프로그램이 더 높은 수준의 무결성 개체에 액세스해야 하는 경우에는 기본적으로 권한 상승을 요청하는 대화 상자가 나타납니다. 사용자가 권한 상승을 승인하면 더 높은 수준의 무결성을 가진 브로커 프로세스가 만들어집니다. 이 브로커 프로세스는 Internet Explorer 7.0을 대신하여 더 높은 수준의 무결성 개체에 액세스합니다.

권한 상승을 요청하는 대화 상자가 나타나지 않도록 레지스트리를 사용하여 이러한 기본 동작을 무시할 수 있습니다. 이 문서에서는 다양한 응용 프로그램에 따라 원하는 권한 상승 정책 동작을 설정하기 위해 관리자가 .adm 또는 .admx 파일을 사용하여 "보호 모드에 적용할 권한 상승 정책 사용자 지정 허용" 정책을 추가하는 방법을 설명합니다.

소개

권한 상승 정책 레지스트리 구성


다음과 같은 값을 사용하여 브로커 GUID를 만들고 기본 권한 상승 정책을 변경할 수 있습니다.
  • AppName: 실행 파일 이름을 나타내는 REG_SZ 값
  • AppPath: 사용자가 선택한 실행 파일 설치 위치를 나타내는 REG_SZ 값
  • CLSID: 확장 프로그램이 COM 서버를 시작할 경우 확장 프로그램의 CLSID가 포함된 REG_SZ 값을 추가합니다.
  • Policy: 보호 모드에서 브로커를 시작하는 방법을 나타내는 DWORD 값. 다음 표에서는 지원되는 값과 해당 의미를 보여 줍니다.
표 축소표 확대
결과
3브로커가 자동으로 보통 무결성 프로세스로 시작됩니다.
2프로세스 실행 허용 여부를 묻는 메시지가 표시됩니다. 프로세스 실행을 허용하면 프로세스가 보통 무결성 프로세스로 시작됩니다.
1브로커가 자동으로 낮은 무결성 프로세스로 시작됩니다.
0프로세스를 시작할 수 없습니다.

경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이 문제를 해결하려면 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 이러한 문제의 해결을 보증하지 않습니다. 레지스트리 수정에 따른 모든 책임은 사용자에게 있습니다.

다음과 같이 GUID를 추가해야 합니다.
  • 다음 레지스트리 하위 키 아래에 이 GUID를 추가합니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Internet Explorer \Low Rights\ElevationPolicy
  • 다음 레지스트리 하위 키 중 하나 아래에 비슷한 레지스트리 항목을 만듭니다.
    HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
    HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Low Rights\ElevationPolicy
사용자 지정 .adm 파일 만들기

이 정책을 포함하는 사용자 지정 .adm 파일을 만들려면 다음과 같이 하십시오.
  1. 권한 상승 정책을 구성할 응용 프로그램 목록을 정의합니다. 각 응용 프로그램에 적용할 권한 상승 정책을 결정합니다. 위의 표에 나와 있는 값 0~3을 사용합니다.
  2. 메모장과 같은 텍스트 편집기를 열고 다음 템플릿을 메모장 파일로 복사합니다.

    참고 이 코드와 이 문서의 다른 코드 예제에 있는 <APPNAME1>, <APPPATH1>, <CLSID1> 및 <POLICY1>이 나타내는 값은 응용 프로그램 이름, 경로, CLSID 및 적용해야 할 정책에 대한 자리 표시자입니다.
    CLASS USER
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		POLICY !!ConfigureElevationPolicy
    			#if version >= 4
    			SUPPORTED !!SUPPORTED_IE7
    			#endif
    			KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy"
    			ACTIONLISTON
    				KEYNAME "Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>"
    				VALUENAME AppName       VALUE "<APPNAME1>"	                      
    				VALUENAME AppPath       VALUE "<APPPATH1>"                                                                                     
    				VALUENAME CLSID         VALUE "<CLSID1>"
    				VALUENAME Policy        VALUE NUMERIC "<POLICY1>"
    			END ACTIONLISTON
    		END POLICY
    	END CATEGORY
    END CATEGORY
    
    CLASS MACHINE
    CATEGORY !!WindowsComponents
    	CATEGORY !!InternetExplorer
    		<POLICY ... END POLICY will be exactly same as that under class user>
       	END CATEGORY
    END CATEGORY
    
    
    [strings]
    SUPPORTED_IE7="At least Internet Explorer 7.0"
    WindowsComponents="Windows Components"
    InternetExplorer="Internet Explorer"
    ConfigureElevationPolicy="Enable customizing the elevation policy for Protected Mode"

    .admx 및 .adml 파일 만들기

    .admx 및 .adml 파일을 만들려면 사용자 지정 .adm 템플릿 파일을 만드는 대신 다음 템플릿을 사용하십시오. 이 템플릿을 .adm 파일의 실제 값으로 채우려면 3단계를 수행할 수도 있습니다. 그밖의 다른 응용 프로그램에 대해서는 <enabledList>와 </enabledList> 사이의 코드 블록을 반복하십시오.

    ElevationPolicy.admx 파일 만들기
    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="0.9" schemaVersion="0.9" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <policyNamespaces>
        <target prefix="ElevationPolicy" namespace="Microsoft.Policies.ElevationPolicy" />
        <using prefix="inetres" namespace="Microsoft.Policies.InternetExplorer" />
      </policyNamespaces>
      <resources minRequiredRevision="0.9" />
      <policies>
          <policy name="ConfigureElevationPolicy_1" class="User" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
          	  <parentCategory ref="inetres:InternetExplorer" />
              <enabledList>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppName">
                   <value>
                     <string><APPNAME1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="AppPath">
                   <value>
                      <string><APPPATH1></string>
                   </value>	
                 </item>	
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="CLSID">
                   <value>
                     <string><CLSID1></string>
                   </value>
                 </item>
                 <item key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\<GUID1>" valueName="Policy">
                   <value>
                     <decimal value="<POLICY1>" />
                   </value>
                 </item>
               </enabledList>
          </policy>
          <policy name="ConfigureElevationPolicy_2" class="Machine" displayName="$(string.ConfigureElevationPolicy)" key="Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy">
              <parentCategory ref="inetres:InternetExplorer" />
              <enabledList> <same as user policy above> </enabledList> 
          </policy> 
      </policies>
    </policyDefinitions>

    ElevationPolicy.adml 파일 만들기

    <?xml version="1.0" encoding="utf-8"?>
    <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="0.9" schemaVersion="0.9" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <displayName>enter display name here</displayName>
      <description>enter description here</description>
      <resources>
        <stringTable>
          <string id="ConfigureElevationPolicy">Enable customizing the elevation policy for Protected Mode</string>
        </stringTable>
      </resources>
    </policyDefinitionResources>

    참고 .admx 파일은 <%windir%>\policydefinitions 아래에 놓고 .adml 파일은 <%windir%>\policydefinitions\<%lang-dir%> 아래에 놓아야 합니다. 결과를 확인하려면 gpedit.msc를 실행하십시오.
  3. 정책 템플릿을 적절한 값으로 채웁니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 새 GUID를 만들고 코드 예제에 있는 <GUID1>을 이 새 GUID로 바꿉니다.
    2. 선택한 첫 번째 응용 프로그램의 실행 파일 이름과 실행 파일 경로를 각각 <APPNAME1><APPPATH1>에 입력합니다. 확장 프로그램이 COM 서버를 시작할 경우 확장 프로그램의 CLSID를 <CLSID>에 입력합니다. 응용 프로그램에 적용할 권한 상승 정책 번호 0~3을 <POLICY1>에 입력합니다.
    3. 선택한 다른 모든 응용 프로그램에 대해 <enabledList>와 </enabledList> 사이의 코드 블록을 복제한 다음 3a-3b단계 단계를 반복하여 이 블록을 채웁니다.
    4. 3단계에서 만든 정책을 이 코드의 CLASS MACHINE 항목 아래에 복사합니다.
  4. 파일을 .adm 파일로 저장합니다. 예를 들어, ElevationPolicy.adm으로 저장합니다.
  5. 다음을 수행하여 결과를 확인합니다.
    1. 그룹 정책 개체 편집기를 엽니다.
    2. 컴퓨터 구성을 찾은 다음 관리 템플릿을 확장합니다.
    3. 관리 템플릿을 마우스 오른쪽 단추로 누른 다음 템플릿 추가/제거를 누릅니다. 대화 상자에서 추가를 눌러 4단계에서 만든 ElevationPolicy.adm 파일을 추가합니다.
      참고 .admx 파일이나 .adml 파일은 <%windir%>\policydefinitons\에 추가해야 합니다. 이러한 파일은 나중에 그룹 정책 개체 편집기에서 마우스 오른쪽 단추를 눌러 추가할 수 없습니다.
    4. 컴퓨터 구성을 찾고 관리 템플릿, Windows 구성 요소를 차례로 확장한 다음 Internet Explorer를 누릅니다.
    5. 오른쪽 창에서 새 정책인 "보호 모드에 적용할 권한 상승 정책 사용자 지정 허용"을 찾아서 설정합니다.
    6. 레지스트리를 검색하여 다음 하위 키 아래에 원하는 레지스트리 항목이 채워졌는지 확인합니다.
      HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
    7. 사용자 구성에 대해 5c단계를 반복합니다. 레지스트리를 검색하여 다음 하위 키 아래에 원하는 레지스트리 항목이 채워졌는지 확인합니다.
      HKEY_CURRENT_USER\Software\policies\Microsoft\Internet Explorer\Low Rights\ElevationPolicy
참고 3d, 4 및 5b단계는 .adm 파일에만 적용됩니다.

참조

자세한 내용은 다음 Microsoft TechNet 웹 사이트를 참조하십시오.
http://www.microsoft.com/technet/windowsvista/library/02633470-396c-4e34-971a-0c5b090dc4fd.mspx(영문)
http://www.microsoft.com/technet/windowsvista/library/90c3c5f5-b756-49b1-bfd6-a5da93305bbc.mspx(영문)
http://www.microsoft.com/technet/windowsvista/library/1494d791-72e1-484b-a67a-22f66fbf9d17.mspx(영문)




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 918239 - 마지막 검토: 2007년 3월 12일 월요일 - 수정: 1.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Internet Explorer 7
키워드:?
kbhowto kbinfo KB918239

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com